1
VLAN- Firewallproblem extrem langsame Verbindung
Hallo liebe Mitadmins,
ich hoffe jemand hatte diesen Effekt schon und kann mir einen Tipp geben an welcher Stelle ich den Fehler suchen muss...
Folgendes Setup:
Firewall (Checkpoint R75.40 auf HP Dl360) mit 6 Netzwerkinterfaces
Am DMZ Interface: Switch HP Procurve 3500yl
Am Switch 2 Citrix XenServer mit jeweils 1+2 NIC-Bonding
Firewallseitig:
eth0 keine IP (Default VLAN/untagged)
eth0.2 VLAN2 für das VLAN Interface eines virtuellen Servers am XenServer1(ClientOS Linux)
eth0.3 VLAN3 für das VLAN Interface eines virtuellen Servers am XenServer1(ClientOS Windows Server 2008R2)
eth0.4 VLAN4 für das VLAN Interface eines virtuellen Servers am XenServer2 (ClientOS Linux)
eth0.5 VLAN5 hier hängen die 2 Managementinterfaces der 2 XenServer
eth1 Verbindung ins interne Netzwerk (ebenfalls mit HP Switchen und mehreren VLANs)
XenServer1:
eth0+eth1 = NIC0+1 und hängt untagged im VLAN5 (über diese IP erfolgt z.B. der XenCenter-Zugriff)
NIC0+1.2 VLAN2: einer der virtuellen Maschinen zugewiesen
NIC0+1.3 VLAN3: einer anderen virtuellen Maschine zugewiesen
XenServer2:
eth0+eth1 = NIC0+1 und hängt untagged im VLAN5 (über diese IP erfolgt z.B. der XenCenter-Zugriff)
NIC0+1.2 VLAN4: einer der virtuellen Maschinen zugewiesen
SwitchPorts:
Firewall: Untagged 1 / Tagged 2,3,4,5
XenServer1: Untagged 5 / Tagged 2,3
XenServer2: Untagged 5 / Tagged 4
--
Nun geschieht folgender Effekt:
die Verbindungen aus dem internen Netz auf die XenServer selbst (welche für die Firewall im VLAN 5 liegen und aus Sicht der XenServer normal im Untagged) funktioniert einwandfrei. Die Verbindung aus dem internen Netz zu einer der VMs im VLAN 2,3 und 4 ist extrem langsam (ssh login z.B. dauert gut 2 Minuten um die Zeichen zu übertragen). Umgekehrt auch der gleiche Effekt wenn man den virtuellen Maschinen z.B. Zugriff auf eine Apache Testseite im internen Netz gibt, laden Sie knapp eine Minute daran.
Da der Zugriff über den gleichen physikalischen Übertragungsweg auf die untagged Interfaces aber funktioniert schließe ich mal physikalische Ursachen aus.
Noch interessanter ist folgendes: gebe ich an den virtuellen Maschinen z.B. www.google.de ein öffnet sich google sofort weshalb ich mal davon ausgehe, dass irgendwas mit dem Zusammenspiel zwischen
IntranetSwitch+VLAN->Firewall+VLAN->DMZSwitch+VLAN->XenServer+VLAN
nicht passt. Das NIC-Bonding habe ich schon testweise entfernt und nur mit einem Kabel gearbeitet mit dem gleichen Effekt. Lege ich die betroffenen VMs auf ein eigenes Interface ohne VLAN zu nutzen ist der Fehler auch weg (belegt halt dann mehr Netzwerkports als ich zur Verfügung habe).
Ich hoffe irgendjemand ließt sich das durch und sagt auf anhieb: "so ein Idiot, der Fehler ist doch ganz offensichtlich..." und kann mir bei der Lösung etwas helfen.
Vielen Dank bereits an alle Leser und viele Grüße
Marcel
Firewall (Checkpoint R75.40 auf HP Dl360) mit 6 Netzwerkinterfaces
Am DMZ Interface: Switch HP Procurve 3500yl
Am Switch 2 Citrix XenServer mit jeweils 1+2 NIC-Bonding
Firewallseitig:
eth0 keine IP (Default VLAN/untagged)
eth0.2 VLAN2 für das VLAN Interface eines virtuellen Servers am XenServer1(ClientOS Linux)
eth0.3 VLAN3 für das VLAN Interface eines virtuellen Servers am XenServer1(ClientOS Windows Server 2008R2)
eth0.4 VLAN4 für das VLAN Interface eines virtuellen Servers am XenServer2 (ClientOS Linux)
eth0.5 VLAN5 hier hängen die 2 Managementinterfaces der 2 XenServer
eth1 Verbindung ins interne Netzwerk (ebenfalls mit HP Switchen und mehreren VLANs)
XenServer1:
eth0+eth1 = NIC0+1 und hängt untagged im VLAN5 (über diese IP erfolgt z.B. der XenCenter-Zugriff)
NIC0+1.2 VLAN2: einer der virtuellen Maschinen zugewiesen
NIC0+1.3 VLAN3: einer anderen virtuellen Maschine zugewiesen
XenServer2:
eth0+eth1 = NIC0+1 und hängt untagged im VLAN5 (über diese IP erfolgt z.B. der XenCenter-Zugriff)
NIC0+1.2 VLAN4: einer der virtuellen Maschinen zugewiesen
SwitchPorts:
Firewall: Untagged 1 / Tagged 2,3,4,5
XenServer1: Untagged 5 / Tagged 2,3
XenServer2: Untagged 5 / Tagged 4
--
Nun geschieht folgender Effekt:
die Verbindungen aus dem internen Netz auf die XenServer selbst (welche für die Firewall im VLAN 5 liegen und aus Sicht der XenServer normal im Untagged) funktioniert einwandfrei. Die Verbindung aus dem internen Netz zu einer der VMs im VLAN 2,3 und 4 ist extrem langsam (ssh login z.B. dauert gut 2 Minuten um die Zeichen zu übertragen). Umgekehrt auch der gleiche Effekt wenn man den virtuellen Maschinen z.B. Zugriff auf eine Apache Testseite im internen Netz gibt, laden Sie knapp eine Minute daran.
Da der Zugriff über den gleichen physikalischen Übertragungsweg auf die untagged Interfaces aber funktioniert schließe ich mal physikalische Ursachen aus.
Noch interessanter ist folgendes: gebe ich an den virtuellen Maschinen z.B. www.google.de ein öffnet sich google sofort weshalb ich mal davon ausgehe, dass irgendwas mit dem Zusammenspiel zwischen
IntranetSwitch+VLAN->Firewall+VLAN->DMZSwitch+VLAN->XenServer+VLAN
nicht passt. Das NIC-Bonding habe ich schon testweise entfernt und nur mit einem Kabel gearbeitet mit dem gleichen Effekt. Lege ich die betroffenen VMs auf ein eigenes Interface ohne VLAN zu nutzen ist der Fehler auch weg (belegt halt dann mehr Netzwerkports als ich zur Verfügung habe).
Ich hoffe irgendjemand ließt sich das durch und sagt auf anhieb: "so ein Idiot, der Fehler ist doch ganz offensichtlich..." und kann mir bei der Lösung etwas helfen.
Vielen Dank bereits an alle Leser und viele Grüße
Marcel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 188741
Url: https://administrator.de/contentid/188741
Printed on: April 24, 2024 at 16:04 o'clock
1 Comment
Erledigt, XenServer 6.0.2 HOTFIX005 löst genau dieses Problem.
